意図的、盗難時の情報漏えい対策が盲点
現在、情報漏えいを防ぐための対策が急速に整備されつつある。また、国によってWinnyネットワークが監視されていることや、ファイルを最初にアップロードしたのが誰かを推定する技術の手法も確立されつつあるという。さまざまな対策を個人や職場など、解決主体ごとに見ていこう。
「インターネットにつながない」、「電子文書を作らない」、「ファイル共有ソフトを使わない」といった対策は、どれも自分自身の過失で情報が漏えいすることは防げても、意図的な情報漏えいや、盗難など第三者による漏えい対策にはならない。3月9日には、小学校の児童や教職員の個人情報を記録したハードディスクの修理依頼先がWinny経由でウイルスに感染し、ネットワークに個人情報が流出した件が明らかになっている。情報化社会である以上、「○○を使わない」という対策は本質的な解決にならないのは明らかだろう。
また、Winnyの使用を禁止するような意見も、使い続けたい人が耳をふさいでしまうことになり、逆効果だ。ファイル共有ソフトの利用は「人間の欲」と強い関わりがあり、「ウイルス感染のリスクを啓蒙する」といったユーザーの「理性」に訴えかける方法には限界がある。こうした点をふまえた対策に産業技術総合研究所情報セキュリティ研究センターの高木浩光主任研究員が自身のブログで紹介した「WinnyのDownフォルダをインターネットゾーンにする」という方法がある。この方法では、吉岡照雄氏が公開している「ZoneFolder.VBS」というスクリプトを使って、Winnyでファイルがダウンロードされるフォルダをインターネットゾーンに設定する。すると、デジタル署名のないファイルを実行しようとしたときに、警告ダイアログが表示されるようになるのだ(囲み参照)。
WinnyのDownフォルダをインターネットゾーンにする
 |
|---|
| 1:「ZoneFolder.VBS」をダウンロードし、「インターネットフォルダ.vbs」を実行する(画像クリックで拡大) |
 |
| 2:デスクトップにできたショートカットアイコンを実行する(画像クリックで拡大) |
 |
| 3:試しにメモ帳のプログラムファイルをコピーして実行する |
 |
| 4:適当なフォルダ名を入力する(画像クリックで拡大) |
 |
| 5:「C:エDocuments and Settingsエ<ユーザー名>エLocal SettingsエTemporary Internet Filesエ<フォルダ名>」というインターネットゾーンのフォルダができる(画像クリックで拡大) |
 |
| 6:実行ファイルは「セキュリティの警告」ダイアログが表示されるため、誤って実行にしにくくなる(画像クリックで拡大) |
高木氏はこの方法を「注射セットを配布する」と表現している。注射セットの配布とは、麻薬中毒者が使用済み注射針の使い回しでHIV/AIDSに感染する例があったため、1980年代にサンフランシスコ市が注射針の交換所を設けたような対策を指す。麻薬の使用そのものを合法化するわけにはいかないが、中毒者がいる以上はきれい事をいっていられない。麻薬中毒も「人間の欲」に関係しており、「麻薬はよくない」と理性に訴えかけても問題は解決しない。そこで、注射針を無料で配布することで、せめてHIV/AIDSの感染を防ごう、という計画だった。
こうした現実主義的対策の効果は抜群で、一時は新規感染患者がゼロになったほどである。しかし、新規感染患者がいなくなって注射針の無料配布を止めたところ、感染者が増えてしまった。「注射セットの配布」のような即効性のある対症療法は、遅効性でも原因療法となる対策と組み合わせなければならないのだ。
以下ではこうした観点に立って、さまざまな対策を紹介する。なお、どれか1つだけですべてに対応できる対策は存在しないため、「○○という方法は△△という場合に対応できないからダメだ」といった批判のための議論は意味がない。ここでも多重防御の考え方を採用し、できるだけ多く、種類の異なる対策を採り入れることが重要である。
「Winny禁止では何も解決しない! 情報漏えいを止めろ!」のトップへ戻る |
|---|
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】
